Jak wykazać rozliczalność w zakresie przestrzegania przepisów RODO

Zasada rozliczalności oznacza, że administrator danych jest zobowiązany do przestrzegania zasad wprowadzonych przez RODO i powinien być wstanie to wykazać. Jednocześnie przepisy RODO nie wprowadziły żadnych konkretnych rozwiązań, do stosowania których administrator danych byłby zobowiązany. Wdrożenie odpowiednich środków ma wynikać z przeprowadzonej analizy ryzyka i zostać indywidualnie dobrane do sytuacji konkretnego administratora danych.

W art. 5 RODO zostały jednak wskazane zasady dotyczące przetwarzania danych osobowych, którymi powinien się kierować administrator danych. Co więcej, w ust. 2 tego artykułu wskazano, że „rozliczalność” polega na tym, że administrator jest odpowiedzialny za przestrzeganie tych zasad i musi być w stanie wykazać ich przestrzeganie.

Są to następujące zasady:

  • Zasada zgodności z prawem, rzetelności i przejrzystości. Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
  • Zasada ograniczenia celu oznacza, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Jednocześnie przepis zastrzega, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami.
  • Zasada minimalizacji danych. Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
  • Zasada prawidłowości. Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Dodatkowo przepis nakłada na administratora obowiązek podjęcia wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
  • Zasada ograniczenia przechowywania. Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W przedmiotowym przepisie zastrzeżono, że dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą.
  • Zasada integralności i poufności. Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
     

Ważne

Powyższe zasady wprowadzone przepisami RODO przekładają się na szereg obowiązków, które zostały nałożone na administratorów danych.

Są to przede wszystkim:

  • obowiązek informacyjny,
  • obowiązek prawidłowego zbierania zgód na przetwarzanie danych osobowych (w zakresie, w jakim dane są przetwarzane na podstawie zgody),
  • obowiązek prowadzenia rejestru czynności przetwarzania danych i rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora,
  • obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.